parar mensagens de auditoria do kernel registradas no syslog sem desabilitar a auditoria

tag-icon tag-icon systemd rsyslog audit auditd journald
parar mensagens de auditoria do kernel registradas no syslog sem desabilitar a auditoria

SO: CentOS 7

Estou tentando descobrir como kauditos eventos de auditoria() são registrados /var/log/messages.

Eu habilitei audit=1no grub, o que significa que quando o servidor inicializa, a auditoria do kernel está habilitada. Este é o estado desejado para o sistema específico e desabilitar a auditoria está fora da equação. Minha auditconfiguração é a seguinte

  #  auditctl -s
enabled 1
failure 1
pid 0
rate_limit 0
backlog_limit 64
lost 7452643
backlog 0
loginuid_immutable 0 unlocked

Auditddo outro lado está desabilitado/parado porque estou usando outra ferramenta para coletar/consumir os eventos gerados pela auditoria do kernel.

Meu problema é que notei que esses eventos de auditoria estão logados /var/log/messages:

2021-11-25T00:35:09.490607-08:00 myserver.local kernel: [4272426.343673] audit: type=1110 audit(1637829309.455:7426414): pid=2361 uid=0 auid=4294967295 ses=4294967295 msg='op=PAM:setcred grantors=pam_env,pam_unix acct="root" exe="/usr/bin/sudo" hostname=? addr=? terminal=? res=success

Estou tentando descobrir como essas mensagens acabam /var/log/messagese a única coisa que tenho certeza é que o syslog fará isso.

Na verdade, estou tentando rastrear como terminam os eventos de auditoria rsysloge até agora não tive sorte. Presumo que journaldesteja buscando esses eventos de auditoria que, por sua vez, os encaminham, rsyslogno entanto, não consigo esclarecer isso.

Journaldposso estabelecer um netlink socketcom o kernel para obter eventos de auditoria, porém não vejo tal soquete presente no systemd.

 #  systemctl list-units --type=socket
UNIT                         LOAD   ACTIVE SUB       DESCRIPTION
dbus.socket                  loaded active running   D-Bus System Message Bus Socket
dm-event.socket              loaded active listening Device-mapper event daemon FIFOs
iscsid.socket                loaded active running   Open-iSCSI iscsid Socket
iscsiuio.socket              loaded active listening Open-iSCSI iscsiuio Socket
lvm2-lvmetad.socket          loaded active listening LVM2 metadata daemon socket
lvm2-lvmpolld.socket         loaded active listening LVM2 poll daemon socket
nscd.socket                  loaded active running   Name Service Cache Daemon Socket
rpcbind.socket               loaded active running   RPCbind Server Activation Socket
systemd-initctl.socket       loaded active listening /dev/initctl Compatibility Named Pipe
systemd-journald.socket      loaded active running   Journal Socket
systemd-shutdownd.socket     loaded active listening Delayed Shutdown Socket
systemd-udevd-control.socket loaded active running   udev Control Socket
systemd-udevd-kernel.socket  loaded active running   udev Kernel Socket


#  systemctl status systemd-journald-audit.socket
Unit systemd-journald-audit.socket could not be found.

Agora, o estranho é que, se eu listar netlinkos soquetes no sistema, posso ver um relacionado a audite systemd:

#   ss -a -f netlink|grep audit
UNCONN 0      0              audit:systemd/1                        *
UNCONN 0      0              audit:sudo/3144                        *
UNCONN 0      0              audit:kernel                           *
UNCONN 0      0              audit:sudo/14889                       *

Alguma ideia de como esses logs acabam no syslog e como esse audit:systemdsoquete é criado?

Mais importante ainda, como parar journaldde coletar eventos de auditoria?

informação relacionada